Quali sono le implicazioni per la sicurezza di abilitare CORS per le immagini?

4

La società per cui lavoro gestisce un server fotografico con profilo utente. Vorrei recuperare, modificare visivamente (aggiungere una sfocatura, alcuni effetti, ecc.) E visualizzare quelle immagini in <canvas> . Il problema è che il server fotografico si trova su un'origine diversa e quando aggiungo un'immagine scaricata alla tela, ottiene tainted , impedendomi di lavorare con l'immagine.

Esistono implicazioni di sicurezza nell'abilitazione di CORS per le immagini? Cosa può fare una persona malintenzionata?

    
posta Oleg 27.05.2016 - 18:09
fonte

1 risposta

3

Dipende da come lo hai impostato. Se consenti le richieste di origine incrociata da qualsiasi dominio, un utente malintenzionato che trova gli URL delle immagini può fare qualsiasi cosa tu possa fare all'interno della tua applicazione Javascript: la sicurezza è esattamente la stessa di quella che hai. Se si limitano le richieste al server applicazioni specifico, non dovrebbero essere in grado di fare nulla, proprio come non è possibile al momento.

CORS ha lo scopo di prevenire attacchi lato client come il caricamento di un'immagine che il sito remoto non può vedere (con un tag immagine su un server di Facebook, ad esempio), quindi copiare il contenuto sul proprio server senza che il client sia consapevole. Pertanto, la situazione che descrivi è esattamente ciò che gestisce bene.

In questo caso, è più importante che tutte le funzioni per salvare le immagini modificate sul server siano sicure, poiché potrebbero comportare compromissione del server o semplicemente siti di terze parti che utilizzano il sistema come modo per memorizzare le immagini. Non dimenticare che anche con CORS abilitato, un utente malintenzionato può caricare facilmente le immagini direttamente dal tuo server se non si eseguono le opportune procedure di autenticazione, ad esempio eseguendo un comando cURL sull'URL dell'immagine.

    
risposta data 27.05.2016 - 18:29
fonte

Leggi altre domande sui tag